Irónicamente, los ciberdelincuentes ahora usan anuncios de búsqueda de Google para promocionar sitios de phishing que roban las credenciales de los anunciantes para la plataforma de Google Ads.
Los atacantes están publicando anuncios en Google Search que se hacen pasar por Google Ads, mostrando como resultados patrocinados que redirigen a las víctimas potenciales a páginas de inicio de sesión falsas alojadas en Google Sites, pero que se parecen a la página oficial de Google Ads, donde se les pide que inicien sesión en sus cuentas.
Google Sites se utiliza para alojar páginas de phishing porque permite a los atacantes camuflar sus anuncios falsos, dado que la URL (sites.google.com) coincide con el dominio raíz de Google Ads para suplantación completa.
"De hecho, no puede mostrar una URL en un anuncio a menos que su página de destino ( URL final) coincida con el mismo nombre de dominio. Si bien esa es una regla destinada a proteger el abuso y la suplantación, es una que es muy fácil de sortear" dicho Jérôme Segura, Director Senior de Investigación en Malwarebytes.
"Mirando hacia atrás en el anuncio y la página de Google Sites, vemos que este anuncio malicioso no viola estrictamente la regla ya que sites.google.com utiliza los mismos dominios raíz ads ads.google.com. En otras palabras, está permitido mostrar esta URL en el anuncio, por lo que es indistinguible del mismo anuncio publicado por Google LLC."
Según las personas que tampoco cayó víctima a estos ataques o vio ellos en acción, los ataques incluyen múltiples etapas:
La víctima ingresa la información de su cuenta de Google en la página de phishing.
El kit de phishing recopila identificadores únicos, cookies y credenciales.
La víctima puede recibir un correo electrónico indicando un inicio de sesión desde una ubicación inusual (Brasil)
Si la víctima no detiene este intento, se agrega un nuevo administrador a la cuenta de Google Ads a través de una dirección de Gmail diferente.
El actor de amenazas va en una juerga de gastos y bloquea a las víctimas si pueden.
Al menos tres grupos de cibercrimen están detrás de estos ataques, incluidos los hablantes de portugués que probablemente operan desde Brasil, los actores de amenazas con sede en Asia que usan cuentas de anunciantes de Hong Kong (o de China) y una tercera pandilla probablemente compuesta por europeos del Este.
Malwarebytes Labs, que vio esta campaña en curso, cree que el objetivo final de los delincuentes es vender las cuentas robadas en foros de piratería y usar algunas de ellas para ejecutar futuros ataques utilizando las mismas técnicas de phishing.
"Esta es la operación de publicidad maliciosa más atroz que hemos rastreado, llegando al núcleo del negocio de Google y probablemente afectando a miles de sus clientes en todo el mundo. Hemos estado reportando nuevos incidentes durante todo el día y, sin embargo, seguimos identificando nuevos, incluso en el momento de la publicación", agregó Segura.
"Irónicamente, es muy posible que las personas y empresas que ejecutan campañas publicitarias no estén utilizando un bloqueador de anuncios (para ver sus anuncios y los de sus competidores), lo que los hace aún más susceptibles a caer en estos esquemas de phishing."
Las cuentas robadas de Google Ads son muy buscadas por los ciberdelincuentes, que úsalos regularmente como combustible en otros ataques eso también abuso de los anuncios de búsqueda de Google para empujar malware y varias estafas.
"Prohibimos expresamente los anuncios que tienen como objetivo engañar a las personas para robar su información o estafarlas. Nuestros equipos están investigando activamente este problema y trabajando rápidamente para abordarlo", dijo Google a BleepingComputer cuando se le pidió que proporcionara más detalles sobre los ataques.
A lo largo de 2023, Google también bloqueado o eliminado 206,5 millones de anuncios por violar su Política de tergiversación. También eliminado más de 3.4 mil millones de anuncios, restringieron más de 5.7 mil millones y suspendieron más de 5.6 millones de cuentas de anunciantes.
Comments